DebianでのSSTPクライアントの構成


11

Debian(安定した)サーバーを、SSTP VPNサーバーとして機能しているWindows Server 2008R2サーバーに接続する必要があります。Debianサーバーにsstp-clientをインストールできましたが、バックグラウンドで実行できるように接続を構成する方法がわかりません。さらに、構成プロセス全体について私が理解していないことがかなり多くあります。

インターネットで見つけたいくつかのアドバイスに従って、にを追加noauthしてリモートサーバーの認証を無効にしました/etc/ppp/options。さらに、私が追加がオプションrefuse-paprefuse-eaprefuse-chaprefuse-mschapおよびrequire mppe力にMS-CHAP-V2認証(Windowsサーバがそのなく、他人を受け入れるように構成されています)。

端末から実行した場合

sstpc --log-level 4 --log-stderr --user USERNAME --password PASSWORD SERVER_IP

接続が機能し、別の端末を開くと、VPN経由でのみアクセスできるWebページにアクセスできます。

etc/ppp/peers/sstp-1内容でファイルを作成してみました

remotename sstp-1
linkname sstp-1
ipparam sstp-1
pty "sstpc --ipparam sstp-1 --log-level 4 --save-server-route --nolaunchpppd --user USERNAME --password PASSWORD SERVER_IP"
name USERNAME
plugin sstp-pppd-plugin.so
sstp-sock /var/run/sstpc/sstpc-sstp-1
usepeerdns
refuse-pap
refuse-eap
refuse-chap
refuse-mschap
require-mppe
noauth

そして、コマンドラインから実行しsudo pon sstp-1ます。接続が失敗し、sudo plogショー

pppd[4813]: Plugin sstp-pppd-plugin.so loaded.
pppd[4814]: pppd 2.4.5 started by root, uid 0
pppd[4814]: Using interface ppp0
pppd[4814]: Connect: ppp0 <--> /dev/pts/1
pppd[4814]: Could not connect to sstp-client (/var/run/sstpc/sstpc-sstp-1), Connection refused (111)
pppd[4814]: Exit.

このすべてに関していくつか質問があります。

  1. /etc/ppp/peers/sstp-1(スクリプトで使用するために)バックグラウンドでVPNに接続/切断できるようにセットアップするにはどうすればよいですか?
  2. Windowsサーバーは、自己署名証明書を使用してVPNトラフィックを暗号化します。上記の接続構成を使用すると、クライアントマシンに証明書をインストールする必要がないのはなぜですか?トラフィックは暗号化されていますか?

Joel Lehikoinenよろしくお願いします。

回答:


4
  1. どのような設定を破ったことは提供していた--user--passwordで始まる行のコマンドラインオプションとしてpty。ユーザー名はすでに次の行で指定されており、パスワードはで指定する必要があります/etc/ppp/chap-secrets。その行を次のように変更することで問題が修正されました

    pty "sstpc --ipparam sstp-1 --nolaunchpppd SERVER_IP"
    

    さらに、/etc/ppp/options構成パラメーターはSSTP構成ファイルで既に指定されているため、を編集する必要はありません。/etc/ppp/peers/sstp-1

  2. 少なくともnoauth、PPPでサーバー認証を無効にするだけだと思っていたオプションでは、sstp-client は自己署名SSLサーバー証明書も問題なく受け入れます

    回避策として、1つの可能性は、自己署名CA証明書を作成し、それを使用してサーバー証明書に署名--ca-cert /path/to/snakeoil-ca.pemし、コマンドラインオプションとしてsstp-clientに提供することです(つまり、ファイルの「pty」行で) )、サーバーのSSL証明書を既知の値に制限します。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.